Gli hacker stanno utilizzando una nuova funzionalità di Ethereum dall'Upgrade Pectra per svuotare crypto dai wallet con chiavi private rubate.
La funzionalità, EIP-7702, consente ai wallet di agire come smart contract, che i criminali utilizzano per inoltrare automaticamente i fondi rubati.
Oltre 100.000 smart contract erano legati a questa attività, dimostrando come gli aggressori stiano rapidamente adottando i nuovi strumenti di Ethereum.
La recente funzionalità di smart wallet di Ethereum, EIP-7702, è sotto esame dopo che i ricercatori di sicurezza blockchain hanno scoperto un uso improprio da parte dei cybercriminali. Dopo l’upgrade Pectra, diversi fornitori di wallet hanno iniziato a integrare le funzionalità di EIP-7702.
Gli analisti di Wintermute, una società di trading crypto, hanno notato che gli attaccanti hanno utilizzato il 97% delle deleghe dei wallet EIP-7702 per distribuire contratti progettati per drenare fondi da utenti ignari.
Sponsored
Sponsored
Gli hacker usano l’EIP-7702 di Ethereum per automatizzare il drenaggio di massa dei wallet
EIP-7702 consente temporaneamente agli account di proprietà esterna (EOA) di operare come smart contract wallet. L’upgrade abilita funzionalità come il batching delle transazioni, limiti di spesa, integrazione delle chiavi di accesso e recupero del wallet, tutto senza cambiare gli indirizzi del wallet.
Invece di spostare manualmente ETH da ogni wallet compromesso, gli attaccanti ora autorizzano contratti che inoltrano automaticamente qualsiasi ETH ricevuto ai loro indirizzi.
“Non c’è dubbio che gli attaccanti siano tra i primi ad adottare nuove capacità. Il 7702 non è mai stato pensato come una soluzione definitiva e ha grandi casi d’uso,” ha detto Rahul Rumalla, Chief Product Officer di Safe, ha dichiarato.
L’analisi di Wintermute mostra che la maggior parte di queste deleghe di wallet punta a codebase identiche progettate per “spazzare” ETH dai wallet compromessi.
Approvazione delle deleghe delle transazioni di Ethereum EIP-7702. Fonte: Dune
Questi “sweepers” trasferiscono automaticamente qualsiasi fondo in entrata agli indirizzi controllati dagli attaccanti. Su quasi 190.000 contratti delegati esaminati, più di 105.000 erano collegati ad attività illecite.
Koffi, un analista senior di dati presso Base Network, ha spiegato che oltre un milione di wallet ha interagito con contratti sospetti lo scorso fine settimana.
Ha chiarito che gli attaccanti non hanno utilizzato EIP-7702 per hackerare i wallet ma per semplificare il furto da wallet con chiavi private già esposte.
In case it wasn't clear:
These wallets were not hacked using 7702. The hacker obtained the private keys without doing anything related to 7702.
And, since they have the keys, they could transfer money out of these wallets by making regular transactions from each one.…
L’analista ha aggiunto che un’implementazione di rilievo include una funzione di ricezione che attiva i trasferimenti di ETH nel momento in cui i fondi arrivano nel wallet, eliminando la necessità di un prelievo manuale.
“Il nuovo meccanismo EIP-7702 è utilizzato principalmente da gruppi di furto di monete (non gruppi di phishing) per trasferire automaticamente fondi da indirizzi di wallet con chiavi private/mnemoniche trapelate,” ha dichiarato.
Nonostante la portata dell’operazione, non ci sono profitti confermati finora.
Indirizzo degli attori malevoli di Ethereum EIP 7702. Fonte: Dune
Un ricercatore di Wintermute ha notato che gli attaccanti hanno speso circa 2,88 ETH per autorizzare oltre 79.000 indirizzi. Un solo indirizzo ha eseguito quasi 52.000 autorizzazioni, eppure l’indirizzo di destinazione non ha ricevuto alcun fondo.
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.